Metad Plan de Contingencia y Continuidad de Negocio

PLAN DE
CONTINGENCIA
Y CONTINUIDAD
DE NEGOCIO Colección
PROTEGE TU EMPRESA
ÍNDICE
ÍNDICE
1- INTRODUCCIÓN.....................................................................................03
2- TIPOS DE PROYECTOS DE CONTINUIDAD............................................05
3- FASES DE UN PLAN DE CONTINUIDAD DE NEGOCIO..........................07
3.1. FASE 0: DETERMINACIÓN DEL ALCANCE................................................................09
3.2. FASE 1: ANÁLISIS DE LA ORGANIZACIÓN...............................................................11
3.2.1. Mantener reuniones............................................................................................. 12
3.2.2. Análisis de Impacto sobre el Negocio................................................................. 13
3.2.3. Análisis de Riesgos................................................................................................ 17
3.3. FASE 2: DETERMINACIÓN DE LA ESTRATEGIA DE CONTINUIDAD........................19
3.4. FASE 3: RESPUESTA A LA CONTINGENCIA..............................................................21

3.4.1. Plan de Crisis (o de Incidentes)............................................................................ 22
3.4.2. Planes Operativos de Recuperación de Entornos............................................. 23
3.4.3. Procedimientos técnicos de trabajo (o de Incidentes)..................................... 24
3.5. FASE 4: PRUEBA, MANTENIMIENTO Y REVISIÓN...................................................25

3.5.1. Plan de mantenimiento........................................................................................ 27
3.5.2. Planes de pruebas................................................................................................. 28
3.6. FASE 5: CONCIENCIACIÓN.......................................................................................29
4- RESUMEN...............................................................................................30
5- REFERENCIAS.........................................................................................31
1
Plan de Contingencia y Continuidad de Negocio
ÍNDICE
ÍNDICE DE FIGURAS
Ilustración 1: Prioridades del Plan de Continuación de Negocio....................................... 03
Ilustración 2: Objetivos del Plan de Continuación de Negocio.......................................... 07
Ilustración 3: Análisis de impacto sobre el negocio.......................................................... 13
Ilustración 4: Estrategias para el tratamiento de los riesgos.......................................... 18
Ilustración 5: Información necesaria para establecer la Estrategia de Continuidad.... 19
Ilustración 6: Elementos para la gestión inicial de una crisis.......................................... 22
2
1. INTRODUCCIÓN
Las empresas deben estar preparadas para prevenir, protegerse, y reaccionar ante inciden-
tes de seguridad que puedan afectarles y que podrían impactar en sus negocios. Por este mo-
tivo es necesario proteger los principales procesos de negocio a través de un conjunto de tareas
que permitan a la organización recuperarse tras un incidente grave en un plazo de tiempo que
no comprometa su continuidad. De esta forma se garantiza poder dar una respuesta planifica-
da ante cualquier fallo de seguridad. Esto repercutirá positivamente en el cuidado de nuestra
imagen y reputación como empresa, además de mitigar el impacto financiero y de pérdida de
información crítica ante estos incidentes.
Evitar pérdidas de vidas

Mantener la confianza
Prioridades
Plan de en la empresa
Continuidad
de Negocio
Reanudar las operaciones lo Lograr las conexiones con

antes posible los principales clientes
y proovedores
Proteger el medioambiente
Ilustración 1
Prioridades del Plan de Continuación de Negocio
3
Debemos tener en cuenta que el término to de comunicaciones, sistemas como ser-
continuidad del negocio no hace referen- vidores en una ubicación remota, en otros
cia exclusivamente a aspectos relacionados casos podría ser más óptimo realizar copias
con las tecnologías de la información. de seguridad en la nube, primando el rendi-
miento frente al coste.
Por ejemplo, en una empresa de
mensajería se deben tener en cuen-
ta las consecuencias de una inun-
dación en el almacén, en una pana-
dería se debe considerar el fallo de
sus hornos, o en una empresa de
atención telefónica el mal funciona-
miento de la centralita.
¿Qué ocurre si hay un fallo en el sis-

tema eléctrico?, ¿y si nuestra web
no está disponible? ¿Qué ocurriría
en tu empresa si hubiera una pan-
demia de gripe u otro virus? ¿Has
considerado medidas de bajo coste
como el teletrabajo en esta situa-
ción de contingencia?
Aunque podría pensarse que la continuidad

del negocio es un ámbito exclusivo de las
grandes organizaciones, esto no es cierto.
Si bien existe una diferencia significativa,
cada organización establece las medidas
necesarias y proporcionales a sus necesida-
des para garantizar su continuidad en caso
de desastre. Si hablamos del ámbito tecno-
lógico, por ejemplo, mientras que una gran
organización puede requerir el despliegue
de un centro de respaldo alternativo, tan-
4
2. TIPOS DE PROYECTOS
DE CONTINUIDAD
Aunque, en términos generales, se suelen sido afectados. En este caso, nos cen-
enmarcar dentro del concepto de Plan de traremos en la parte tecnológica.
Continuidad de Negocio [1], sí que tene-
Aunque el alcance de un PCN es por lo
mos que distinguir tres tipos según el al-
general superior al de un PCTIC, ya que
cance o ámbito que tengan.
hay otros procesos y activos no tecno-
►► Plan de Continuidad de Negocio lógicos implicados, las fases de su ela-
(PCN) establece la continuidad de una boración son básicamente las mismas.
organización desde múltiples pers-
►► Plan de Recuperación ante Desas-
pectivas: infraestructura TIC, recur-
tres (PRD). En este caso, su fase de
sos humanos, mobiliario, sistemas de
análisis es menos profunda y se enfoca
comunicación, logística, sistemas in-
al ámbito más técnico, de modo que
dustriales, infraestructuras físicas, etc.
es un plan reactivo ante una posible
Cada uno de estos ámbitos tendrá a su
catástrofe. Por ejemplo, si tenemos un
vez un plan de continuidad más espe-
plan de desastres para nuestra página
cífico, ya que no es lo mismo la inun-
web de comercio electrónico, el PRD
dación de un almacén de logística que
contendrá todos los pasos para la re-
el corte del suministro eléctrico en una
cuperación de la aplicación.
sala de servidores.
►► Plan de Continuidad TIC (o Plan de

Contingencia TIC, PCTIC), es uno de
los planes que forman el plan de con-
tinuidad de negocio de nuestra organi-
zación, pero restringido al ámbito TIC.
Mientras que un PCN sirve de dispara-
dor para los diferentes planes de con-
tingencia, un PCTIC se limita al ámbito
tecnológico.
Por ejemplo, si se produce un incendio

en uno de nuestros almacenes, será ne-
cesario poner en marcha todos aque-
llos planes de continuidad de negocio
relacionados con los procesos que han
5
Cabe destacar dos aspectos:
1. Estos tres planes o ámbitos son inclusivos:
»» Plan de recuperación ante desastres.
»» Plan de contiuidad TIC.

Plan de
»» Plan de continuidad de negocio. recuperación
ante desastres
2. Dado que nuestra organización puede
tener distintos servicios con distintas nece-
Plan de continuidad
sidades, lo dicho no implica que debamos TIC
abordar un proyecto que abarque todos
los departamentos o servicios de la orga-
nización. Es decir, podemos desarrollar un Plan de continuidad
de negocio
PCTIC en un departamento o servicio de
la organización que se amplíe a determi-
nados servicios, que aunque no sean tec-
nológicos sí estén relacionados, o que nos
interese abordarlo en este proyecto.
6
3. FASES DE UN PLAN DE
CONTINUIDAD DE NEGOCIO
Los planes de continuidad de negocio pue- so de mejora de la continuidad puede

den ayudarnos a: suponer emplear un número de recur-
sos y un tiempo excesivo. Por tanto, es
recomendable comenzar por aquellos
Mantener el nivel de servicio en los departamentos o áreas con mayor im-
límites definidos portancia y progresivamente ir amplian-
do la continuidad a toda la organización.
Establecer un período de recupera- Para ello siempre con el compromiso e
ción mínimo implicación de la dirección.
►► Fase 1. Análisis de la organización.

Recuperar la situación inicial antes de Durante esta fase recopilamos toda la
cualquier incidente de seguridad
información necesaria para establecer
los procesos de negocio críticos, los
Analizar los resultados y los motivos activos que les dan soporte y cuáles
de los incidentes son las necesidades temporales y de
recursos.
Evitar que las actividades de la em- ►► Fase 2. Determinación de la estra-
presa se interrumpan
tegia de continuidad. Conocidos los
activos que soportan los procesos crí-
ticos, debemos determinar si en caso
Ilustración 2 de desastre, seremos capaces de recu-
Objetivos del Plan de Continuación de Negocio
perar dichos activos en el tiempo nece-
sario. En aquellos casos en los que no
Por todo ello, debemos considerar, desde sea así, debemos establecer las diver-
un punto de vista formal, aquellos factores sas estrategias de recuperación.
que pueden garantizar la continuidad de ►► Fase 3. Respuesta a la contingencia.
una empresa en circunstancias adversas. A partir de las estrategias de recupera-
Este proceso implica las siguientes fases: ción escogidas, se realiza la selección e
►► Fase 0. Determinación del alcance. Si implantación de las iniciativas necesa-
nuestra empresa presenta cierta com- rias, y se documenta el Plan de Crisis
plejidad organizativa, abordar un proce- y los respectivos documentos para la
recuperación de los entornos.
7
►► Fase 4. Prueba, mantenimiento y revisión. A partir de la infraestructura tecnológica de
nuestra empresa, desarrollaremos los planes de prueba y mantenimiento.
►► Fase 5. Concienciación. Además del análisis y la implantación, es necesario que tanto el

personal técnico como los responsables de nuestra empresa conozcan qué es y qué supone
el Plan de Continuidad de Negocio así como qué se espera de ellos.
8
3.1. FASE 0: DETERMINACIÓN DEL ALCANCE
Esta fase es la de menor duración y con- tecnológicos (servidores, dispositivos de

sume un menor número de recursos. Pero red, equipos personales, bases de datos,
su ejecución es imprescindible para poder aplicaciones, etc.), y personal de informáti-
determinar la magnitud y coste del proyec- ca sino que también requerirá la colabora-
to que vamos a abordar, además de su via- ción de otros departamentos.
bilidad futura.
En esta fase determinaremos qué elemen-

tos de nuestra empresa van a ser el foco
de la mejora de su continuidad. Por tanto
estará implicado el personal, los activos de
información, los sistemas informáticos, y
otros servicios y procesos de la organiza-
ción. Según los tipos de proyecto que he-
mos visto, lo habitual es que un PRD esté
enfocado a los activos, mientras que el PC-
TIC tenga un enfoque mayor en los proce-
sos de la empresa.
El alcance habitual son aquellos sistemas

o procesos de mayor criticidad y por tan-
to, los que en caso de pérdida impactarían
más sobre nuestra organización. Aunque
nos centramos en el ámbito de la tecno-
logía, esto es exactamente igual para cual-
quier empresa: si para una panadería su
elemento más crítico es el horno, ese debe
ser el alcance. No tendría sentido en ese
caso que el proyecto se centrase en ele-
mentos que son accesorios o cuyo impac-
to sobre el negocio es menor.
Otro elemento a tener en cuenta en el al-

cance es que durante el desarrollo del pro-
yecto no sólo se implicarán a los activos
9
Según esto, podemos plantear el enfoque • Según un enfoque por proce-
desde el punto de vista del activo, o del so, el alcance sería el proceso
proceso: de contabilidad, y en ese caso
el objetivo del proyecto sería
►► El enfoque por activo asume la me-
la mejora de la continuidad del
jora de la continuidad de un conjunto
proceso, que puede implicar
de activos, y a partir de estos obtiene
además de la mejora de la apli-
la información de los procesos que los
cación, la implantación de medi-
utilizan. Este enfoque es más propio de
das adicionales.
un PRD o cuando nuestro proyecto lo
va a abordar el departamento técnico.
El alcance que escojamos determinará el
►► El enfoque por proceso pretende me- volumen de trabajo del proyecto. En una
jorar la continuidad de un determinado empresa pequeña puede ser interesante
proceso, con independencia de los acti- abordar todo los aspectos TIC, mientras
vos de informática que le den soporte. que en una empresa de tamaño medio,
Este enfoque es más propio del negocio. una opción puede ser comenzar con un
proceso o activo crítico y a partir de ahí ir
Un ejemplo de alcance podría ser ampliando poco a poco el alcance a otras
la aplicación de contabilidad que áreas y activos.
es crítica para la organización por
Dado que nuestra idea es hacer un Plan
razones de carácter fiscal.
de Continuidad de Negocio TIC [2], vamos
Esto implicará que en el proyecto in- a centrar nuestro proyecto en un enfo-
tervendrá todo el personal técnico que por proceso. Es decir, vamos a coger
relacionado con la aplicación, y todo nuestro proceso más crítico y vamos a me-
el personal de los departamentos jorar su continuidad.
que trabajen con dicha aplicación.
Cabe destacar que aunque el enfoque a
• Según un enfoque por activo adoptar está centrado en un planteamien-
cualquier análisis se centrará en to TIC, éste puede aplicarse sin demasiadas
el activo, la aplicación de conta- modificaciones a los planes de continuidad
bilidad, y a partir de ahí estable- de otros entornos: logística, producción,
ceremos las dependencias que etc., siempre teniendo en cuenta las parti-
nuestra organización tiene de cularidades de cada caso.
dicho elemento.
10
3.2. FASE 1: ANÁLISIS DE LA ORGANIZACIÓN
Esta fase conlleva la obtención, elaboración y comprensión de las circunstancias, tecnologías,

procesos y recursos de nuestra organización. Esto nos permitirá abordar las fases posteriores
con garantías y sobre una base sólida. Es importante que involucremos a múltiples actores para
que el resultado sea lo más cercano posible a la realidad.
11
3.2.1. MANTENER REUNIONES
La primera tarea a realizar es reunirnos ción de contabilidad, cada cuánto tiempo,

con los usuarios finales del proceso que si la aplicación está en periodo de soporte
hemos seleccionado como nuestro alcan- y cuál es el tiempo de respuesta del pro-
ce. De estas reuniones debemos obte- veedor, etc.
ner las dependencias de proveedores, el
Tras estos dos pasos, tendremos una vi-
personal implicado, las aplicaciones que
sión general de los procesos de los que
se utilicen, y datos sobre las necesidades
queremos mejorar la continuidad.
temporales de cada aplicación.
Por ejemplo, si nuestro proceso más

crítico es la contabilidad, deberemos
reunirnos con todo el personal im-
plicado en ese proceso, conocer las
aplicaciones que utilizan, los equipos
informáticos, qué proveedores utili-
zan, si dependen de otros departa-
mentos, cuánto tiempo puede estar
el proceso sin disponer de una de-
terminada aplicación, a qué horas se
utiliza o cuántos días de información
podría ser asumible perder, en caso
de un incidente grave.
El siguiente paso es recopilar toda la in-

formación sobre las aplicaciones que
hemos obtenido en el paso anterior, para
obtener los detalles de su funcionamiento,
instalación, proveedor, etc. Esto podemos
hacerlo con entrevistas al personal de in-
formática o simplemente revisando toda
la información de la que dispongamos. Si-
guiendo el ejemplo, así conoceremos si se
realizan copias de seguridad de la aplica-
12
3.2.2. ANÁLISIS DE IMPACTO SOBRE EL NEGOCIO
El siguiente paso es elaborar el Análisis de Impacto sobre el Negocio o BIA [3] (Business Impact
Analysis), a partir de la información que hemos recogido. Este documento se debe de realizar
siempre desde el punto de vista de negocio.
Es uno de los ejes principales del PCTIC, al contener las necesidades de los procesos que he-
mos definido como alcance. Así podremos clasificarlos según su criticidad y su dependencia
de los activos tecnológicos.
Este documento contiene los requisitos temporales y de recursos de los procesos dentro
del alcance y, junto con el Análisis de Riegos define las iniciativas a implantar para recuperar
los procesos en situación de contingencia.
RTO
Tiempo de recuperación
Recursos humanos y tecnologicos
MTD
Tiempo máximo tolerable de caida
ROL
Niveles mínimos de recuperación
de servicio
Dependencias de otros procesos

o proveedores
RPO
Grado de dependencia de la actuali-
dad de los datos
Ilustración 3
Análisis de impacto sobre el negocio
13
Para cada proceso que hayamos analiza- produzcan consecuencias desastro-
do, debemos haber obtenido los siguien- sas para nuestra empresa. Debemos
tes datos: tener en cuenta que esta valoración
será en la mayoría de los casos subje-
►► Tiempo de recuperación o RTO (Re-
tiva, ya que incluso si podemos medir
covery Time Objective). Este es el tiempo
cuantitativamente el impacto de una
que un proceso permanecerá detenido
contingencia (en clientes no atendidos,
antes de que su funcionamiento sea
ventas de la página web no realizadas,
restaurado. Este valor tiene un gran
etc.), determinar en qué momento di-
componente de subjetividad.
cho impacto pone en riesgo la continui-
►► Recursos humanos y tecnológicos dad de nuestra empresa es una tarea
empleados en el proceso. En este muy compleja.
punto debemos determinar las aplica-
El MTD está relacionado con el negocio,
ciones, sistemas, equipamiento y ele-
mientras que el RTO será determinado,
mentos auxiliares (impresora, fax, etc.)
por lo general, por personal técnico. En
que cada proceso necesita para su fun-
todos los casos, el RTO debe ser infe-
cionamiento en una situación de con-
rior al MTD.
tingencia, así como los tiempos de recu-
peración que cada una de ellas tenga. Por ejemplo, si el MTD de nuestro
»» En el caso de los recursos tecnoló- proceso de contabilidad son 72 ho-
gicos, debemos de considerar las de- ras y su RTO 24 horas, entonces:
pendencias con otra infraestructura * Tardaremos 24 horas, con los re-
tecnológica. cursos actuales, en poner en marcha
»» En el caso de los recursos humanos, de nuevo el proceso.
debemos identificar personal crítico sin * Si no recuperamos el proceso en 72
reemplazo, ya sea por limitaciones de horas, el proceso puede dañar de ma-
personal o por poseer know-how muy nera irreversible a nuestra empresa.
específico.
►► Tiempo máximo tolerable de caída ►► Niveles mínimos de recuperación

o MTD (Maximum Tolerable Downtime). de servicio o ROL (Revised Operating
Este es el tiempo que un proceso pue- Level). Éste es el nivel mínimo de recu-
de permanecer caído antes de que se peración que debe tener una actividad
14
para que la consideremos como recupe- ►► Grado de dependencia de la actua-
rada, aunque el nivel de servicio no sea lidad de los datos o RPO (Recovery
el óptimo. Point Objective). Este valor determina el
impacto que tiene sobre la actividad la
Esta variable puede ser establecida tan-
pérdida de datos. Este valor es crítico
to en valores absolutos como porcen-
a la hora de determinar las políticas de
tuales, y debe tener en cuenta el público
copias de la organización, y no guarda
objetivo o destinatario de la actividad del
relación con el RTO visto anteriormente.
servicio, cumplimiento de compromisos
satisfechos con terceras partes, porcen- Por ejemplo, nuestro proceso de
taje de la actividad habitual que es posi- contabilidad puede ser muy crítico,
ble llevar a cabo, etc. pero puede utilizar datos históricos
Aunque no siempre será posible de- del mes pasado, por lo que aunque
terminar este valor, si nuestro proce- su RTO sea muy alto, su RPO puede
so se basa por ejemplo en la atención ser muy bajo.
de llamadas de clientes, podemos
establecer un ROL en el 70%, tras lo Con la información obtenida, identificare-
cual consideraremos que el proceso mos principalmente los siguientes datos:
está recuperado (lo que no implica ►► Qué procesos debemos recuperar an-
que dejemos de aplicar las medidas tes (de entre aquellos que componen
de recuperación hasta el 100%). el alcance), en función de su MTD. Las
ordenaremos por MTD de más críticas
►► Dependencias de otros procesos in-
a menos críticas. Es habitual establecer
ternos o proveedores externos. En
una escala dividida en tres rangos de va-
función de la criticidad de las actividades
lores; por ejemplo un MTD inferior a 24
en las que el proveedor esté implicado,
horas, otro entre 24 y 72 horas, y uno
podemos solicitar a éste que indique
superior a 72 horas.
si dispone de un Plan de Recuperación
ante Desastres y qué intervalos tempo- ►► Qué aplicaciones debemos recuperar
rales maneja. El propósito es verificar antes, en función de los procesos en los
que una situación de desastre en un que intervengan.
proveedor crítico no traslada dicha con-
►► Las necesidades de copias de seguridad
tingencia a nuestra empresa.
de cada proceso.
15
Debemos tener en cuenta que cuanto ma-
yor sean las exigencias temporales y de
garantía de conservación de los datos, los
recursos que tendremos que invertir serán
mayores. Dado que esta información nos
la proporcionará cada departamento que
esté implicado en el alcance, es recomen-
dable realizar un ejercicio de evaluación
adicional para detectar exigencias dema-
siado elevadas y no aceptar los requisitos
sin una valoración previa.
Por ejemplo, aunque el responsable

de contabilidad determine que su
equipo no puede estar más de 2 ho-
ras sin acceso al correo electrónico,
es posible que en el pasado dicha
interrupción se haya producido sin
consecuencias relevantes.
No obstante, es probable que los re-

cursos para que dicho acceso no se
interrumpa sean elevados.
Por tanto, debemos trasladar a los usua-

rios las implicaciones de los requerimien-
tos que nos indican e instarles a conside-
rar incidencias en el pasado, ausencias por
enfermedad, etc.
16
3.2.3. ANÁLISIS DE RIESGO
A partir de la información obtenida en las tro propósito será identificar aquellos

reuniones iniciales, abordaremos la reali- riesgos que pueden poner en peligro
zación de un análisis de riesgos. Estudiare- la continuidad o la información de los
mos qué amenazas pueden materializarse procesos críticos de la organización.
afectando a los procesos del alcance, con
3. Por último, realizaremos el producto
qué probabilidad, qué impacto tendrían en
de la probabilidad por el impacto de
éstos y qué activos de aquellos que inter-
cada amenaza, que nos servirá para
vienen en los procesos de negocio críticos
identificar aquellos riesgos que debe-
(por ejemplo, aquellos con un MTD inferior
mos tratar con mayor prioridad. De
a 24 horas) se verían afectados.
esta manera obtenemos un listado de
Para ello, realizaremos los siguientes pasos: los riesgos de la organización, donde
cada registro será una amenaza, un va-
1. Determinar las amenazas a las que
lor de impacto y uno de probabilidad.
está expuesta la organización: robo de
información sensible, inundación, pér- Aunque estos tres pasos nos proporcio-
dida de suministro eléctrico, caída del narán el conjunto de amenazas a las que
servidor de correo, etc. A diferencia de estamos más expuestos, existen metodo-
otros casos, en este tipo de proyectos logías que permiten obtener resultados
nos centraremos en aquellas amena- menos subjetivos y más fiables, pues tie-
zas que implican una indisponibili- nen en cuenta variables como el valor de
dad de los procesos del alcance. los activos, sus vulnerabilidades, etc.
2. Una vez tenemos el listado de las ame- Aunque lo mejor es poder establecer rangos
nazas, determinaremos la probabili- de impacto asociados a valores temporales,
dad y el impacto de cada una de esas de manera que nos sea posible relacionar
amenazas. Esto puede hacerse utili- el MTD/RTO con los tiempos de impacto de
zando una escala variable cualitativa, una amenaza, este aspecto es complejo de
por ejemplo, de uno a cinco: de “Muy evaluar y determinar por la incertidumbre
baja” a “Muy alta”. En este caso, nos in- de la valoración de las amenazas.
teresan especialmente aquellos riesgos
que impliquen un mayor impacto (y una
probabilidad no despreciable), ya que
son los que pueden poner en riesgo la
continuidad de la organización. Nues-
17
Una vez establecidos los principales riesgos, es decir aquellos con mayor impacto, debemos
tratarlos de manera adecuada [4] mediante una de las siguientes estrategias:
01
TRANSFERIR
el riesgo a un tercero
ELIMINAR
04 IMPLANTAR
el riesgo
02
medidas para
mitigarlo
ASUMIR
el riesgo
03
Ilustración 4
Estrategias para el tratamiento de los riesgos
Como respuesta a los riesgos, generare- Para cada medida, determinaremos:

mos un plan de tratamiento de riesgos
►► descripción de la medida o iniciativa,
para cada uno de aquellos que superen el
entendida ésta como un conjunto de
umbral determinado. En algunas ocasiones
controles de la misma naturaleza;
parte de estas medidas podrán ser consi-
deradas posteriormente para la mejora de ►► riesgo o riesgos que mitiga;
la continuidad.
►► fecha de la implantación límite;
►► responsable de la implantación;
►► recursos necesarios para su implantación.
18
3.3. FASE 2: DETERMINACIÓN DE LA ESTRATEGIA
DE CONTINUIDAD
Tras los pasos anteriores, deberemos disponer de la siguiente información:
Los procesos críticos del negocio, sus

tiempos necesarios de recuperación y sus
requisitos de pérdida de datos
Los recursos implicados en cada uno de

los procesos: aplicaciones, etc...
Los tiempos de recuperación de cada

uno de los recursos que puede garantizar
nuestro personal técnico
Los riesgos a los que se encuentra some-

tida la infraestructura TI
Ilustración 5
Información necesaria para establecer la Estrategia de Continuidad
A partir de esta información, podremos determinar cuál es la diferencia entre las necesidades de
los procesos de negocio incluidos en el alcance, y las capacidades de los recursos que utilizan.
De este modo, identificaremos si los recursos actuales y sus estrategias de recuperación permi-
tirían cubrir el MTD establecido para cada proceso.
Por ejemplo, nuestro proceso de contratación tiene un MTD de 24 horas. Éste utiliza:
el correo electrónico, la aplicación específica de contabilidad y el acceso a un directorio
departamental.
El email y el directorio departamental tienen un RTO de 8 horas, pero la aplicación

específica de contabilidad tiene un RTO de 48 horas. Esto significa que si cae dicha
aplicación, el proceso se interrumpirá durante un tiempo de 48 horas, implicando un
deterioro grave de la actividad de nuestra empresa.
Por tanto, nuestro propósito debe ser implantar medidas que reduzcan este tiempo de re-
cuperación por debajo del MTD de 24 horas. Como indicábamos antes, si ese MTD es de 8
horas, las medidas a implantar serán más costosas que en el caso de que sea de 48 horas.
19
Extendiendo este ejercicio a todos los pro- unos tiempos de respuesta acordes a
cesos dentro del alcance y los diferentes las necesidades de nuestra empresa, y
ámbitos, debemos determinar qué estrate- que no estamos expuestos a que nos
gias seguir para cada uno de los diferentes trasladen sus posibles contingencias.
elementos potencialmente afectados por
Como resultado de dicho proceso deter-
una contingencia. Es decir, cómo recupe-
minaremos las estrategias de recuperación
rar un sistema para evitar que una contin-
más adecuadas a cada caso, teniendo en
gencia lo degrade de manera irreversible
cuenta que algunos procesos pueden re-
para nuestra empresa.
querir varias estrategias de recuperación en
Algunos elementos potencialmente afecta- función de su naturaleza y características.
bles por una contingencia son los siguientes:
Estas estrategias debemos implementarlas
►► Personal. Según el personal crítico en una fase posterior, y para cada una de
identificado en el BIA, debemos evaluar ellas debemos valorar el coste y viabilidad
las diferentes opciones para mitigar su de su implantación, mantenimiento, recur-
ausencia. sos necesarios, etc., de manera que obten-
gamos un conjunto de iniciativas a implan-
►► Locales. Deben evaluarse situaciones
tar para mejorar la continuidad del proceso.
en las que no se disponga de ubicación
para trabajar.
►► Tecnología. Para las diferentes tec-

nologías implicadas en los activos que
dan soporte al proceso se deben valo-
rar posibles alternativas de funciona-
miento o medidas complementarias.
►► Información. Debemos considerar

todos aquellos aspectos relacionados
con la disponibilidad y salvaguarda de
la información relacionada con los pro-
cesos críticos.
►► Proveedores. Debemos garantizar

que los proveedores críticos tienen
20
3.4. FASE 3: RESPUESTA A LA CONTINGENCIA
Una vez hemos definido, en el punto ante-

rior, las estrategias de recuperación para
cada uno de los elementos implicados en
los procesos críticos afectados por una
contingencia, esta fase es la encargada de
implementar dicha estrategia.
Este proceso comienza con la implanta-

ción de las iniciativas identificadas en la
anterior fase, y seguirá una fase de clasifi-
cación y priorización de medidas, en fun-
ción del proceso afectado por su implanta-
ción y la criticidad de éste.
Durante la implantación, podemos abor-

dar la fase de documentación de respues-
ta a la contingencia, y a partir de este pun-
to nos centraremos en los elementos más
relacionados con la tecnología, aunque
son también aplicables a elementos que
no sean tecnológicos.
Esta documentación se ejecuta en forma

de árbol jerárquico, donde el elemento su-
perior gestiona el momento crítico inmedia-
tamente posterior a la crisis, los elementos
intermedios ponen las bases para la recupe-
ración de la infraestructura, y los nodos infe-
riores establecen los procedimientos técni-
cos detallados para dicha recuperación.
Este proceso lo organizamos en torno a

los siguientes elementos que se detallan a
continuación.
21
3.4.1
3.4.1. PLAN DE CRISIS (O DE INCIDENTES)
Este documento es el elemento central en la gestión de la situación de crisis, cuyo objetivo es evitar que
tomemos decisiones improvisadas que puedan empeorar la crisis o que, simplemente, no se tomen.
Este plan contiene todos los elementos necesarios para la gestión de los momentos iniciales
de una crisis:
Condiciones de disparo. Es decir, qué situación límite debe darse para

que declaremos una situación de crisis. En este caso tendremos en
cuenta especialmente los MTDs de los procesos críticos.
Flujos de toma de decisiones.
Medios para la declaración de la situación de crisis.
Personal responsable de activar el Plan de Crisis y gestionarlo.
Teléfonos y datos de contacto del personal implicado en la gestión de

la crisis.
Niveles de priorización en la recuperación de la infraestructura de la

organización.
Requisitos temporales de puesta en marcha.
Planes Operativos existentes y personal responsable de su activación.
Ilustración 6
Elementos para la gestión inicial de una crisis
Tras la ejecución del Plan de Crisis, ya habremos gestionado el momento crítico de la crisis y
puesto en marcha todos los procesos necesarios para la recuperación de la infraestructura
afectada través de los Planes Operativos de Recuperación de Entornos [5].
22
3.4.2. PLANES OPERATIVOS DE RECUPERACIÓN DE
ENTORNOS
Una vez contenido el momento inicial de la

crisis, debemos realizar una evaluación del
alcance de la crisis y determinar qué Planes
Operativos de Recuperación se activan.
Estos documentos pueden abarcar uno o
más entornos independientes y contienen
información específica sobre el entorno al
cual aplican. Por ejemplo, un entorno pue-
de ser un ERP, el correo electrónico.
Tras el disparo de los diferentes Planes

Operativos, cada una de las infraestruc-
turas afectadas comenzará su proceso de
recuperación, tomando como base para
ello el elemento último de la ejecución de
la estrategia de continuidad: los procedi-
mientos técnicos de trabajo.
23
3.4.3. PROCEDIMIENTOS TÉCNICOS DE TRABAJO (O DE
INCIDENTES)
Esta es toda documentación que describe cómo hemos de llevar las tareas necesarias para la
gestión y recuperación de una aplicación, sistema, infraestructura o entorno. Aunque intrín-
secamente no son parte de la continuidad del negocio sino de la operación diaria, es en una
situación de crisis cuando se vuelven más importantes.
Por tanto, estos documentos contienen gran cantidad de información específica a cada uno de
los entornos: direcciones IP, versionado de programas, listado detallado de comandos, tablas de
enrutamiento, recuperación de copias de base de datos, puesta en marcha de aplicaciones, etc.
24
3.5. FASE 4: PRUEBA, MANTENIMIENTO Y
REVISIÓN
Un Plan de Continuidad TIC tiene como ►► personal técnico implicado en la prueba;

objeto gestionar de la manera óptima en
►► usuario del aplicativo implicado en la
tiempo y forma una situación de crisis no
prueba;
prevista, reduciendo así los tiempos de re-
cuperación y vuelta a la normalidad. Por ►► personal externo implicado en la prue-
tanto, es imperativo que lo mantengamos ba: clientes, proveedores, etc;
actualizado en todo momento y que su vi-
►► descripción de la prueba a realizar;
gencia sea comprobada regularmente.
►► descripción del resultado esperado tras
Por ejemplo, un plan de continui- la ejecución de la prueba;
dad TIC no actualizado puede im-
plicar que el personal reflejado en ►► hora y fecha de realización; debemos
la documentación ya no trabaje en tener en cuenta que siempre que la
nuestra empresa, que las versiones prueba pueda implicar una pérdida de
de las aplicaciones sean diferentes servicio, ya sea ejecutada con éxito o no,
a las documentadas, que los telé- debe planificarse ésta en un horario de
fonos de contacto sean erróneos, mínimo impacto.
etc. Esto puede ser muy grave en Tras la prueba, deberá elaborarse un infor-
una situación de contingencia. me que recoja los resultados y describa las
posibles incidencias surgidas durante ésta:
Para ello, es necesario llevar a cabo diferen-
resultados no esperados, tiempos estimados
tes pruebas sobre los entornos que haya-
superados, mala comunicación con el perso-
mos definido en el alcance, con diferentes
nal, indisponibilidad de proveedores, etc.
grados de complejidad y elaboración. Entre
todas las pruebas, debemos realizar prue- Cualquier incidencia que se haya produci-
bas de todos los entornos al menos una vez do debe analizarse para la aplicación de las
al año para cubrir el conjunto de amenazas medidas correctoras que sean necesarias.
que hemos definido como potencialmente
Algunas posibles pruebas que pueden rea-
catastróficas.
lizarse, siempre teniendo en cuenta que
En la ejecución de las pruebas, es necesario éstas dependen de la idiosincrasia de cada
llevar a cabo una planificación previa que organización y que deben analizarse y plani-
tenga en cuenta los siguientes aspectos: ficarse cuidadosamente, son las siguientes:
25
►► Realizar la comprobación de que ante una caída del suministro eléctrico, el sistema de alimenta-
ción ininterrumpida y el grupo electrógeno entra en funcionamiento.
►► Verificar los tiempos de recuperación de los posibles repositorios documentales de la or-

ganización en una máquina de pruebas. Los permisos de los ficheros deben ser los que
cada fichero tenía antes de la recuperación.
►► Recuperación de las aplicaciones críticas del negocio (y los datos asociados) en máquinas ins-
taladas durante la prueba.
►► Acceso remoto a la infraestructura desde una ubicación remota.
►► Si disponemos de entornos replicados o en configuración de clúster, debemos garantizar que

ambos elementos pueden funcionar de manera independiente, y que ante la caída de uno de
ellos, el otro dispositivo funciona correctamente.
26
3.5.1. PLAN DE MANTENIMIENTO
El propósito es mantener actualizada toda

la documentación cada vez que se pro-
duzca un cambio significativo en la organi-
zación, a nivel de infraestructuras TIC, de
personal, o de cualquier otro aspecto im-
plicado en los procesos críticos.
Esto permitirá que la documentación que

tengamos que utilizar en una situación de
crisis refleje fielmente la información de
los distintos actores involucrados en los
procesos: infraestructura técnica, perso-
nal, proveedores externos y terceras par-
tes que deben tenerse en cuenta en una
situación de contingencia.
27
3.5.2. PLAN DE PRUEBAS
El objetivo es mostrar los distintos tipos

de pruebas de contingencia que debemos
llevar a cabo. A pesar de que el plan de
mantenimiento contiene aquellos even-
tos que deben disparar una revisión o mo-
dificación del sistema (por ejemplo, el cam-
bio de un proveedor, atravesar con éxito
una fase de crisis), en la ejecución de los
planes de prueba es vital para garantizar la
salud del PCTIC.
Esto permite:
►► garantizar que la información del plan

se mantiene actualizada;
►► garantizar que en situación de con-

tingencia, la organización podrá recu-
perarse en los tiempos establecidos,
aspecto que puede determinar la con-
tinuidad de la organización;
►► incrementar la cohesión del personal

implicado en una potencial contingencia;
►► mejorar el conocimiento de los usua-

rios en relación con las pruebas de
continuidad;
►► incrementar la confianza de los usua-

rios en la organización.
28
3.6. FASE 5: CONCIENCIACIÓN
Como última fase de la implantación de

nuestro Plan de Continuidad de Negocio
TIC, pero no por ello menos importante,
debemos llevar a cabo aquellas tareas que
incrementen la concienciación del personal
[6] en relación con la continuidad. Debe
realizarse tanto del personal implicado en
los procesos de negocio, como del personal
de TI.
En concreto, debemos plantear un proceso

de concienciación que contemple la des-
cripción de los elementos que utilizamos en
la continuidad (análisis de impacto sobre el
negocio, plan de crisis, estrategias de recu-
peración, etc.). Además deben de conside-
rarse aspectos como las responsabilidades,
pruebas que debemos realizar, etc.
El público objetivo en este caso deberá ser

tanto el personal técnico como el personal
de negocio que tenga algún tipo de relación
con los procesos críticos dentro del alcance.
29
4. RESUMEN
Tal y como hemos visto, podemos resumir las tareas para realizar un Plan de Continuidad TIC
en los siguientes pasos:
►► Determinar el alcance de los servicios ►► Elaborar el plan de crisis para iden-

y procesos objeto de la mejora de su tificar las primeras acciones a realizar
continuidad. cuando ocurre un accidente.
►► Realizar reuniones con los departa- ►► Elaborar los planes de recuperación para
mentos implicados y determinar sus cada entorno implicado en el alcance.
necesidades y requerimientos.
►► Elaborar las instrucciones técnicas de
►► Realizar reuniones con personal técni- trabajo para poder llevar a cabo el plan
co y determinar con qué capacidades y de recuperación.
recursos cuentan.
►► Elaborar el plan de mantenimiento e
►► Identificar los servicios y procesos crí- implantarlo.
ticos junto con los activos tecnológicos
►► Elaborar el plan de pruebas e implan-
que los sustentan y sus dependencias.
tarlo, realizando comprobaciones perió-
►► Obtener los riesgos a los que están ex- dicas para verificar que son correctas.
puestos los servicios y procesos.
►► Realizar la formación al personal im-
►► Identificar qué medidas o iniciativas plicado en el Plan de Continuidad de
llevar a cabo para que las capacidades Negocio.
tecnológicas sean superiores a las de-
mandas de negocio.
30
5. REFERENCIAS
[Ref - 1]. Banco de España «Recomendaciones relativas a la continuidad de negocio» -

https://www.bde.es/f/webbde/COM/Supervision/politica/ficheros/es/Recomendaciones_relati-
vas_a_la_continuidad_del_negocio.pdf
[Ref - 2]. INCIBE, Políticas de seguridad para la pyme «Continuidad de negocio» - ht-
tps://www.incibe.es/sites/default/files/contenidos/politicas/documentos/continuidad-negocio.
pdf
[Ref - 3]. INCIBE, Plantilla ejemplo para el inventario básico de activos para BIA - ht-
tps://www.incibe.es/sites/default/files/contenidos/dosieres/plan-contingencia-continuidad-ne-
gocio/plantilla-ejemplo-bia.xls
[Ref - 4]. INCIBE, Gestión de riesgos. Una guía de aproximación para el empresario -
https://www.incibe.es/protege-tu-empresa/guias/gestion-riesgos-guia-empresario
[Ref - 5]. INCIBE, Plantilla ejemplo para un plan de recuperación de entornos - https://
www.incibe.es/sites/default/files/contenidos/dosieres/plan-contingencia-continuidad-nego-
cio/contingencia-y-continuidad-de-negocio-plan-de-recuperacion.pdf
[Ref - 6]. INCIBE, KIT de concienciación para empresas - https://www.incibe.es/prote-

ge-tu-empresa/kit-concienciacion
31

Metad Plan de Contingencia y Continuidad de Negocio

Cargado por

Copyright:

Formatos disponibles

Metad Plan de Contingencia y Continuidad de Negocio

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Metad Plan de Contingencia y Continuidad de Negocio

Cargado por

Copyright:

Formatos disponibles

PLAN DE

3.4. FASE 3: RESPUESTA A LA CONTINGENCIA..............................................................21

3.5. FASE 4: PRUEBA, MANTENIMIENTO Y REVISIÓN...................................................25

3.6. FASE 5: CONCIENCIACIÓN.......................................................................................29

Evitar pérdidas de vidas

Reanudar las operaciones lo Lograr las conexiones con

¿Qué ocurre si hay un fallo en el sis-

Aunque podría pensarse que la continuidad

►► Plan de Continuidad TIC (o Plan de

Por ejemplo, si se produce un incendio

1. Estos tres planes o ámbitos son inclusivos:

»» Plan de recuperación ante desastres.

»» Plan de contiuidad TIC.

Los planes de continuidad de negocio pue- so de mejora de la continuidad puede

►► Fase 1. Análisis de la organización.

►► Fase 5. Concienciación. Además del análisis y la implantación, es necesario que tanto el

Esta fase es la de menor duración y con- tecnológicos (servidores, dispositivos de

En esta fase determinaremos qué elemen-

El alcance habitual son aquellos sistemas

Otro elemento a tener en cuenta en el al-

Esta fase conlleva la obtención, elaboración y comprensión de las circunstancias, tecnologías,

La primera tarea a realizar es reunirnos ción de contabilidad, cada cuánto tiempo,

Por ejemplo, si nuestro proceso más

El siguiente paso es recopilar toda la in-

Recursos humanos y tecnologicos

Dependencias de otros procesos

►► Tiempo máximo tolerable de caída ►► Niveles mínimos de recuperación

Por ejemplo, aunque el responsable

No obstante, es probable que los re-

Por tanto, debemos trasladar a los usua-

A partir de la información obtenida en las tro propósito será identificar aquellos

Como respuesta a los riesgos, generare- Para cada medida, determinaremos:

►► recursos necesarios para su implantación.

Tras los pasos anteriores, deberemos disponer de la siguiente información:

Los procesos críticos del negocio, sus

Los recursos implicados en cada uno de

Los tiempos de recuperación de cada

Los riesgos a los que se encuentra some-

El email y el directorio departamental tienen un RTO de 8 horas, pero la aplicación

►► Tecnología. Para las diferentes tec-

►► Información. Debemos considerar

►► Proveedores. Debemos garantizar

Una vez hemos definido, en el punto ante-

Este proceso comienza con la implanta-

Durante la implantación, podemos abor-

Esta documentación se ejecuta en forma

Este proceso lo organizamos en torno a

Condiciones de disparo. Es decir, qué situación límite debe darse para

Flujos de toma de decisiones.

Medios para la declaración de la situación de crisis.

Personal responsable de activar el Plan de Crisis y gestionarlo.

Teléfonos y datos de contacto del personal implicado en la gestión de

Niveles de priorización en la recuperación de la infraestructura de la

Requisitos temporales de puesta en marcha.

Planes Operativos existentes y personal responsable de su activación.

Una vez contenido el momento inicial de la

Tras el disparo de los diferentes Planes

Un Plan de Continuidad TIC tiene como ►► personal técnico implicado en la prueba;